Uno de los primeros datos que siempre conviene averiguar sobre el objetivo de una ciberinvestigación, si es que no lo tenemos ya, es su dirección de correo electrónico.
Algo tan aparentemente sencillo puede ser una enorme puerta de entrada a más datos (y no me refiero a convertirlo en un vector de ataque en hacking, que también, pero ese es otro tema).
Por eso, si no conocemos el email de un objetivo que estemos investigando, es prioritario averiguarlo.
Por eso, aquí vamos a ver algunas técnicas OSINT para encontrar el email de cualquier persona.
Las técnicas sencillas para averiguar el email de una persona
En cualquier investigación, lo primero a hacer es siempre lo más fácil.
Muchas veces, existe la tentación de complicar las cosas cuando una sencilla búsqueda en Google puede darnos la clave que buscamos.
O nada más frustrante que emplear técnicas complejas, en las que gastas un montón de tiempo y energía, para luego encontrarte con que el objetivo ha puesto su email en Facebook.
Por eso, en estas investigaciones, como en todas, comenzamos por las técnicas de esfuerzo más bajo.
En el caso de encontrar un email del que no disponemos como dato al principio de una investigación, lo primero a probar es:
1. Buscar directamente en Google y otros motores de búsqueda
Parece una tontería, pero todo analista OSINT debería comenzar cualquier clase de investigación probando a poner directamente lo que busca en Google.
Y luego en Bing, Yandex y los motores de búsqueda habituales. Siempre es importante probar más de uno. A veces, el todopoderoso Google no es la opción que encuentra el oro.
Que parece una tontería, pero de veras que a veces te llevas sorpresas. Así que podemos buscar algo así como el nombre de la persona y añadir después los términos “email” o “correo electrónico”.
2. Buscar en perfiles de redes sociales
Muchas personas incluyen su dirección de correo electrónico en su Twitter, Facebook, LinkedIn o lo que sea.
Es un fallo de privacidad importante pero la privacidad no importa.
3. La comprobación de su página web personal
Si una persona tiene un sitio web, es posible que incluya un formulario de contacto a través del cual los visitantes envían mensajes o bien que haya puesto directamente su email.
Es importante echar un vistazo también al código HTML de la página por si acaso está en algún comentario o los formularios han sido implementados de manera cutre yendo directamente a un correo.
De todas maneras, si la web tiene que ver con una actividad profesional, recoge datos o pone cookies, las secciones requeridas por ley en esos casos pueden ser una mina de oro. Son esas sobre políticas de privacidad, de cookies o de contrato legal que nadielee, pero todo ciberinvestigador OSINT debe repasar de arriba abajo.
Allí se suelen encontrar nombres, direcciones y correos electrónicos de contacto. A veces aparecerá el correo personal y en otras muchas, algún correo más genérico o corporativo. No importa, lo añadimos como dato en la investigación, porque puede ser otro vector de “ataque” que explotar para dar con el objetivo deseado.
4. Investigar la base de datos Whois
El siguiente paso, en caso de que tenga web, es echar un vistazo a la base de datos Whois (se puede hacer con una de las muchas herramientas online, por ejemplo).
Esta contiene registros de a quién pertenece el dominio, que a veces pueden incluir una dirección de correo electrónico.
Esto funciona cada vez menos, porque los servicios de registro de dominio ofrecen opciones de privacidad. Antes, por ejemplo, los dominios .es lo cantaban todo y eran una pesadilla si querías mantener una mínima privacidad. Ahora, por lo menos, esconden algo la información también, así que…
Hay otras técnicas más avanzadas con los registros Whois, como por ejemplo examinar históricos antiguos de la base de datos, que, a veces, permiten sacar hasta teléfonos (incluso españoles), las veremos en el futuro cuando tratemos la investigación OSINT de webs. Mientras tanto, para los que no conozcan la técnica en sí, la pista sobre cómo llegar a ella ya la tienen, hora de afilar esas habilidades OSINT.
5. Si el objetivo no es español o europeo, utilizar directorios en línea
Webs como Pipl, PeekYou o 123people pueden utilizarse para buscar información de contacto de personas, incluida su dirección de correo electrónico.
En Europa y España con el RGPD, esto no tendrá sentido, pero no siempre estaremos investigando “en casa” o a objetivos dentro de la Unión Europea.
Estas técnicas fallarán casi siempre si el objetivo ha cuidado mínimamente su email. Sin embargo, aún quedan muchas balas en la recámara.
Usando herramientas comerciales de marketing para encontrar el email
Aunque parezca un pequeño golpe a la honra de hackers y ciberinvestigadores, la verdad es que a la hora en averiguar el email de una persona, las mejores herramientas son las creadas por y para marketing.
Concretamente, herramientas de lo que se llama “email en frío”, que sirve para hacer prospección comercial enviando correos a posibles clientes a los que no conoces de antemano.
Es por eso que hay webs que mantienen bases de datos de millones de emails y, no solo eso, también tienen herramientas para inferir y comprobar la validez de direcciones de correo que no tengan en su base de datos.
Importante aclarar que son herramientas para averiguar direcciones profesionales, es decir, de dominios que no sean Gmail, Yahoo, etc. Así, si sabemos en qué empresa trabaja o a qué organización pertenece el objetivo, y esta tiene una web o dominio, es probable que consigamos su correo.
La mejor y más completa en mi experiencia es, sin duda, Hunter.
Lo primero que haremos será crearnos una cuenta gratuita, que nos dará unas cuantas búsquedas mensuales antes de que haya que pagar.
Lo primero que podemos probar es a poner directamente el dominio en la pantalla inicial de búsqueda. Como vemos, nos salen las direcciones, así como el grado de fiabilidad de que sean correctas.
Sin embargo, la opción más interesante es la de “Finder”, cuando pinchamos en ella, podremos introducir el nombre y los apellidos del objetivo, junto al dominio de la empresa para que la trabaje.
Lo bueno de Hunter es que nos ahorra algo que los ciberinvestigadores hacíamos antes a mano, inferir posibles combinaciones de nombre y apellido y comprobar si el servidor de correo nos daba respuesta válida. Lo cual significaba que la dirección existía.
Así, si sabemos que Juan Pérez trabaja para empresa.com y Hunter lo tiene en su base de datos, nos lo saca. Y si no, empieza a comprobar combinaciones contra el servidor de correo, especialmente, según los parámetros de la empresa a la hora de crear direcciones de email.
Me explico.
Adivinando una dirección de email a través de las reglas de creación de correos de una empresa
Si la empresa del objetivo usa el formato habitual de primera letra de nombre y el apellido para formar la dirección, puede que no tenga a nuestro investigado Juan Pérez en su base de datos, pero sí a María García y que el email sea mgarcia@empresa.com.
En ese caso, Hunter empieza probando jperez@empresa.com y comprueba qué respuesta le da el servidor.
Si la cuenta existe, nos la devuelve. Si no, va probando otras combinaciones, como juan@empresa.com juanperez@empresa.com, etc.
Eso es lo que antes había que hacer a mano, escribiendo conjuros extraños en la terminal y comunicándote directamente con el servidor de email (escondiendo tu IP verdadera, claro).
Hoy es más sencillo y no soy de los que se deja llevar por la nostalgia, que no hay medallas al esfuerzo en la vida.
Si Hunter no nos da la clave, hay más opciones, como Findthat.email, Rocketreach, etc.
La dirección profesional puede ser muy interesante como vector para extraer información adicional, pero en muchas investigaciones OSINT, el premio gordo es el email personal.
Si dicho email no nos aparece por ninguna parte en nuestras búsquedas de webs, redes sociales, etc, aún podemos averiguarlo usando esa inferencia a mano que Hunter nos ha ahorrado a muchos investigadores OSINT para emails profesionales.
La inferencia a mano para encontrar la dirección de correo electrónico de una persona
Si el correo es personal y no profesional, o alguna de las herramientas que hemos visto no nos encuentra el email mediante iteraciones comunes de nombre y apellidos del objetivo, podemos tratar de inferirlo nosotros manualmente. ¿Cómo?
- Probando iteraciones de nombre y apellido con servicios de correo muy extendidos. Es decir, Gmail, Live, Yahoo, etc.
- A partir de otra inteligencia que hemos recopilado, cuando nombre y apellido no parecen dar resultado.
Explico el punto 2.
Por ejemplo, si el objetivo de la OSINT tiene nicks en redes sociales distintas de su nombre, puede que los use también para su dirección de email.
Así, si el investigado se llama José Martínez, pero su nick en Twitter, o donde sea, es halcon75 (por inventarme algo), quizá tenga algún correo, sobre todo en sitios como Gmail, que también usen ese apodo.
De esta manera, podemos probar si halcon75@gmail.com es un correo válido. De ser así, es probable que sea suyo.
¿Y cómo lo hacemos?
Mi intención no es meterme demasiado en cuestiones técnicas en estos artículos y, por suerte, Internet se ha hecho tan grande, que muchas veces no hace falta entrar de nuevo en la terminal a “hablar” con servidores de correo y “preguntarles” por una cuenta concreta.
De nuevo, hay herramientas web que permiten averiguar si la cuenta que inferimos existe o no.
Una de ellas es Email Checker, sencilla y efectiva. Si nos hace falta otra por lo que sea, ya sabemos, una buena búsqueda y seguimos entrenando capacidades OSINT.
Cómo comprobar si una dirección de email es de quien creemos que es
Una vez comprobada la existencia, tenemos un problema, es posible que la dirección no sea suya, sino de alguien que se llame igual o de forma parecida.
Esa es una bestia muy diferente que domar y, aunque hay técnicas para averiguar si es él, especialmente cuando se trata de cuentas de Gmail, este artículo se convertiría en libro.
No obstante, si crees haber encontrado una cuenta de Gmail, sigue el rastro de otros servicios de Google para ver si la posible información que haya en ellos coincide con otra inteligencia sobre el objetivo que tengas.
Me refiero a reseñas, comentarios, posibles canales de Youtube, etc.
Del mismo modo, cuando se trata de Gmail, y hablo de él porque, afrontésmoslo, todo el mundo tiene cuenta en Google y ese debe ser nuestro primer esfuerzo principal en cuanto a cuentas de correo personales, hay una técnica OSINT que suelo utilizar.
Es muy sencilla, simplemente:
- Ve a la cuenta de Gmail del sock puppet que estés utilizando en la investigación.
- Dale a escribir un nuevo email y pon la dirección Gmail encontrada.
- Si el objetivo la usa a menudo, es muy probable que haya puesto una foto o imagen que nos ayude a identificar que realmente es quien buscamos.
No están todas las que son, porque no acabaría hoy, pero estas sí son algunas de las técnicas OSINT que he usado personalmente en investigaciones para averiguar el email de un objetivo.
Como vemos, hay veces que aparece enseguida y otras en las que tenemos que mirar mucho más por los rincones, en ocasiones con paradas intermedias, como una dirección profesional.
Lo que sí es cierto es que no debemos subestimar el poder de un correo electrónico para abrirnos puertas a inteligencia de fuentes abiertas que ni el objetivo sabe que existe en la red sobre él.
